Google kündigt für Chrome 136 ein wegweisendes Sicherheitsupdate an, das eine seit über 20 Jahren bestehende Schwachstelle im Browser-Verlauf beseitigt. Die kritische Sicherheitslücke ermöglichte es Angreifern bisher, durch die Analyse von Link-Farben auf Webseiten die Browserverlauf-Daten von Nutzern auszuspähen.
Technische Details der Sicherheitslücke
Die Schwachstelle basiert auf dem CSS-Pseudoklassen-Selektor :visited, der auf HTML-Elemente mit href-Attributen angewendet wird. Durch die unterschiedliche farbliche Darstellung besuchter und unbesuchter Links konnten Angreifer Side-Channel-Attacken durchführen, um die Browserverlauf-Informationen von Nutzern zu extrahieren. Diese fundamentale Designschwäche existiert seit der Einführung des CSS-Standards.
Entwicklung und bisherige Lösungsansätze
Der Google-Entwickler David Baron entdeckte die Sicherheitslücke erstmals im Jahr 2002. Trotz mehrerer Eindämmungsversuche, wie der Einschränkung der window.getComputedStyle-Methode, fanden Sicherheitsforscher immer wieder Wege, die implementierten Schutzmaßnahmen zu umgehen. Die Problematik blieb bis heute ein signifikantes Datenschutzrisiko.
Innovative Sicherheitsarchitektur in Chrome 136
Die neue Sicherheitsarchitektur in Chrome 136 implementiert ein fortschrittliches Partitionierungssystem für den Browserverlauf. Das System basiert auf drei essentiellen Parametern: der Link-URL, der Domain der Quellseite und der Frame-Origin. Diese Segmentierung verhindert effektiv domainübergreifende Verlaufsabfragen und schützt die Privatsphäre der Nutzer.
Implementierung der neuen Sicherheitsfunktion
Das Update erfordert eine exakte Übereinstimmung aller drei Parameter, bevor ein Link als „besucht“ markiert wird. Diese strikte Isolation macht es Websites unmöglich, den Besuchsstatus von Links auf anderen Domains zu überprüfen. Die neue Architektur gewährleistet maximale Privatsphäre bei gleichzeitiger Beibehaltung der gewohnten Browserfunktionalität.
Die Veröffentlichung von Chrome 136 ist für den 23. April 2025 geplant. Als erster großer Browser implementiert Chrome damit eine umfassende Lösung gegen CSS-basierte Verlaufsverfolgung. Cybersicherheitsexperten wie Lukasz Olejnik bewerten diese Innovation als bedeutenden Fortschritt für die Online-Privatsphäre. Nutzer werden empfohlen, das Update nach Verfügbarkeit zeitnah zu installieren, um von den verbesserten Sicherheitsfunktionen zu profitieren.
